Методика использования антивирусных программ
Доклад - Компьютеры, программирование
Другие доклады по предмету Компьютеры, программирование
?знутые антивирусы защищают вас достаточно хорошо.
Для того чтобы проверять файлы на лету и постоянно защищать подопечный компьютер, антивирусным программам приходится достаточно глубоко проникать в ядро системы, причем проникать приходится в одни и те же зоны. Говоря техническим языком, антивирусы должны устанавливать перехватчики системных событий глубоко внутри защищаемой системы и передавать результаты своей работы антивирусному движку для проверки перехваченных файлов, сетевых пакетов и прочих потенциально опасных объектов.
Далеко не всегда в необходимую зону ядра операционной системы можно установить два перехватчика. В результате несовместимость постоянно работающих антивирусных мониторов; второму антивирусу либо не удается перехватить системные события, либо попытка дублирующего перехвата приводит к краху системы. В этом заключается очередная антивирусная проблема.
Проблема №5
Технологическая исключительность, т.е. несовместимость различных антивирусных программ между собой. В подавляющем большинстве случаев установить два различных антивируса на один компьютер (чтобы обеспечить двойную защиту) невозможно по техническим причинам, и они просто не уживаются друг с другом. Часто говорят, что антивирусные компании ведут себя как медведи в одной берлоге, что несовместимость различных антивирусов на одном компьютере является результатом недобросовестной конкуренции специально спланированной акцией с целью вытеснения с рынка альтернативных решений. Это не так. Наоборот, разработчиками прилагаются все усилия для того, чтобы не возникало конфликтов с наиболее популярными программными продуктами (включая антивирусные).
1.4 Новые технологии против традиционных решений
Естественно, у производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все перечисленные выше проблемы разработать этакую супертаблетку, которая будет защищать от всех компьютерных болезней раз и навсегда. Защищать проактивно, т.е. быть в состоянии определить вирус и удалить его еще до момента его создания и появления в сети и так со всеми вновь появляющимися вредоносными программами. Увы не получится. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам. Компьютерные вирусы же никаким законам не подчиняются, поскольку являются творением не природы, а изощренного хакерского ума. Т.е. законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда. Для примера рассмотрим поведенческий блокиратор как конкурент традиционным антивирусным решениям, основанным на вирусных сигнатурах. Это два разных, не исключающих друг друга подхода к проверке на вирусы. Сигнатура это небольшой кусок вирусного кода, который прикладывается к файлам, и антивирус смотрит, подходит он или нет. Поведенческий блокиратор же следит за действиями программ при их запуске и прекращает работу программы в случае ее подозрительных или явно вредоносных действий (для этого у них есть специальный набор правил). У обоих методов есть и достоинства, и недостатки. Достоинства сигнатурных сканеров гарантированный отлов тех зверей, которых они знают в лицо. Недостаток пропуск тех, которые им пока неизвестны. Также к минусам можно отнести большой объем антивирусных баз и ресурсоемкость. Достоинство поведенческого блокиратора детектирование даже неизвестных вредоносных программ. Недостаток возможны ложные срабатывания, ведь поведение современных вирусов и троянских программ настолько разнообразно, что покрыть их всех единым набором правил просто нереально. Т.е. поведенческий блокиратор будет гарантированно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного. Есть у поведенческого блокиратора и другой (врожденный) недостаток, а именно неспособность бороться с принципиально новыми зловредами. Представим себе, что некая компания X разработала поведенческий антивирус AVX, который ловит 100% современной компьютерной фауны. Что сделают хакеры? Правильно придумают принципиально новые методы зловредства. И антивирусу AVX срочно потребуются обновления поведенческих правил апдейты. Потом снова апдейты, поскольку хакеры и вирусописатели не спят. Потом еще и еще апдейты. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут поведенческими, а не кусками кода. Это справедливо также и в отношении другого проактивного метода защиты эвристического анализатора. Как только подобные антивирусные технологии начинают мешать хакерам атаковать свои жертвы, так сразу появляются новые вирусные технологии, позволяющие обходить проактивные методы защиты. Как только продукт с продвинутыми эвристиками и/или поведенческим блокиратором становится достаточно популярным тут же эти продвинутые технологии перестают работать. Таким образом, вновь изобретенные проактивные технологии работают довольно короткое время. Если хакерам-пионерам потребуется несколько недель или месяцев для преодоления проактивной обороны, то для хакеров-профессионалов это работа на один-два дня или даже всего на несколько часов, а может, даже и минут. Таким образом, поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует посто